返回
《信息安全等级保护测评机构能力规范》(征求意见稿)

《信息安全等级保护测评机构能力规范》(征求意见稿)

ID:18796735

大小:74.50 KB

页数:7页

时间:2018-09-24

《信息安全等级保护测评机构能力规范》(征求意见稿)_第1页
《信息安全等级保护测评机构能力规范》(征求意见稿)_第2页
《信息安全等级保护测评机构能力规范》(征求意见稿)_第3页
《信息安全等级保护测评机构能力规范》(征求意见稿)_第4页
《信息安全等级保护测评机构能力规范》(征求意见稿)_第5页
资源描述:

《《信息安全等级保护测评机构能力规范》(征求意见稿)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、GA中华人民共和国公共安全行业标准GA××××—××××信息安全等级保护测评机构能力规范Criteriaforoperationofbodiesperformingtestingandevaluationofclassifiedprotectionofinformationsystemsecurity(征求意见稿)200×-××-××发布200×-××-××实施中华人民共和国公安部发布3GAXXX--2003前言本标准由中华人民共和国公安部网络安全保卫局提出。本标准起草单位:公安部信息安全等级保护评估中心。本标准主

2、要起草人:公安部信息安全等级保护评估中心负责对本标准的解释。3GAXXX--2003信息安全等级测评机构能力规范1范围本标准规定了信息系统安全等级测评机构的能力要求。本标准适用于对等级测评机构的测评能力进行确认的活动。2术语和定义2.1等级测评classifiedsecuritytestingandevaluation等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。2.2等级测评机构bodiesperformingclas

3、sifiedsecuritytestingandevaluation等级测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。3机构资质要求3.1等级测评机构或其母体应具有明确的法律地位,且应满足以下条件:a)在中华人民共和国境内注册成立(港澳台地区除外);b)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);c)产权关系明晰,注册资金100万元以上。3.2等级测评机构应从事信息系统检测评估相关工作2年以上。3.3等级测评机构应当按照有关规定和

4、统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模板出具测评报告。3.4测评机构不得从事下列活动:a)承担信息系统安全建设整改工作;b)将等级测评任务分包、外包;c)从事信息安全产品开发、营销和信息系统集成活动;d)限定被测评单位购买、使用其指定的信息安全产品;d)未经许可占有、使用有关测评信息、资料及数据文件。f)其他可能影响测评客观、公正的活动。4可信性4.1等级测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民3GAXXX--2003,且无犯罪记录。4.2等级测评机构的工作人员应

5、当提供真实的本人社会背景、工作经历和奖惩情况的证明材料,声明相关材料的真实性并承担法律责任。4.3等级测评机构应对工作人员的证明材料进行审查,确保工作人员符合等级测评工作的需要。4.4等级测评机构应提供技术和管理措施来确保等级测评相关信息的安全、可控,这些信息包括但不限于:a)被测评单位提供的资料;b)等级测评活动生成的数据;c)依据上述信息做出的分析与专业判断。4.5等级测评机构使用的工具应具备全面的功能列表,且不存在功能列表之外的隐蔽功能。4.6等级测评机构应针对等级测评工作制定保密管理规范,明确保密岗位与职责

6、,定期对工作人员进行保密教育,与其签订《保密责任书》,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。4.7等级测评机构和测评人员应遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等,防范测评风险。4.8对国家安全、社会秩序、公共利益不构成威胁。5组织和人员5.1等级测评机构应具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。其中测评技术人员不少于10人。5.1等级测评机构应设立满足等级测评工作需要的工作岗位,如技术主管、等级

7、测评师、管理主管、保密安全员和档案管理员,并配备足够、相对稳定并具备相应能力的工作人员。5.2等级测评师应当具备相应的技术能力来完成开发等级测评指导书、获取测评结果、依据测评结果做出专业判断以及出具等级测评报告等任务,具备不同技术能力的人员比例应满足等级测评工作的需要。5.3等级测评机构应建立文件化的培训制度,以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。5.4等级测评机构应建立并保存工作人员的人员档案,包括社会背景、工作经历、专业资格、奖惩情况等。5.5测评人员上岗前应接受3GAXXX--200

8、3国家信息安全等级保护协调小组办公室指定的专门培训机构的培训和考核,并获得等级测评师证书后方可上岗。6质量体系6.1等级测评机构应依据相关质量体系标准建立、实施和保持适应等级测评工作开展的管理制度体系。6.2等级测评机构应当不断提升自身的测评质量和管理水平,制定相应的质量目标。6.3等级测评机构应定期评审并持续改进管理制度体系。7设施和设备7.1等级测评机构

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。